Shiro之执行流程源码分析

最新推荐文章于 2023-10-26 22:36:28 发布
最新推荐文章于 2023-10-26 22:36:28 发布
阅读量179 收藏 1
点赞数 1
分类专栏: Spring 文章标签: Shiro之执行流程源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouym_/article/details/97547900
版权
本文详细分析了Apache Shiro框架的ini配置文件,包括main、users、roles和urls四个部分,以及对象创建、用户权限配置等。接着探讨了Shiro的安全管理器SecurityManager和Subject的使用,特别是在认证过程中的核心方法和流程,如AuthenticationToken的封装、登录逻辑以及多Realm认证策略。最后,文章总结了Shiro认证流程的关键步骤和重要组件的作用。
摘要由CSDN通过智能技术生成

shiro.ini配置文件

shiro的ini配置文件主要有四大类配置文件
main、users、urls、roles

main

提供了SecurityManager及其依赖的对象配置

#创建对象
securityManager=org.apache.shiro.mgt.DefaultSecurityManager

其构造器必须是public空参构造器,通过反射创建相应的实例。

对象名=全限定类名 相对于调用public无参构造器创建对象
对象名.属性名=值 相当于调用setter方法设置常量值
对象名.属性名=$对象引用 相当于调用setter方法设置对象引用

users

提供了对用户/密码及其角色的配置,用户名=密码,角色1,角色2
username=password,role1,role2
  例如:配置用户名/密码及其角色,格式:“用户名=密码,角色1,角色2”,角色部分可省略。如:

[users]
#用户名及密码
zhouym=123456,role1,role2

roles

提供了角色及权限之间关系的配置,角色=权限1,权限2 role1 = permission1 , permission2
  例如:配置角色及权限之间的关系,格式:“角色=权限1,权限2”;如:
如果只有juese没有权限,可以不用配置roles

urls

用于web,提供了对web url拦截相关的配置,url=拦截器[参数],拦截器

<!--加载顺序从上往下。
		authc需要认证
			anon可以匿名访问的资源
		 -->
	/login.do=authc
	/login.jsp=anon
	/**=authc

依赖文件

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>com.zhouym</groupId>
  <artifactId>shiro-demo</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <dependencies>
  	<dependency>
  		<groupId>org.apache.shiro</groupId>
  		<artifactId>shiro-all</artifactId>
  		<version>1.2.4</version>
  	</dependency>
  	<dependency>
  		<groupId>org.slf4j</groupId>
  		<artifactId>slf4j-simple</artifactId>
  		<version>1.6.1</version>
  	</dependency>
  	<dependency>
  		<groupId>junit</groupId>
  		<artifactId>junit</artifactId>
  		<version>4.12</version>
  	</dependency>
  	<dependency>
  		<groupId>commons-logging</groupId>
  		<artifactId>commons-logging</artifactId>
  		<version>1.2</version>
  	</dependency>
  </dependencies>
</project>

测试类

package com.zhouym.junit;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class JunitTest {

	@Test
	public void test() {
		//获取SecurityManager工厂对象,并加载shiro.ini配置文件
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
		//创建securityManager对象
		SecurityManager securityManager = factory.getInstance();
		//通过SecurityUtils工具类,设置securityManager对象
		SecurityUtils.setSecurityManager(securityManager);
		//通过SecurityUtils工具类获取Subject主体
		Subject subject = SecurityUtils.getSubject();
		//创建身份验证令牌对象,绑定身份信息
		AuthenticationToken token = new UsernamePasswordToken("zhouym","1234");
		try {
			//将身份验证令牌对象中的信息与shiro.ini配置文件信息进行校验,void类型,通过异常查看是否验证成功
			//UnknownAccountException未知账号异常
			//IncorrectCredentialsException错误凭证异常
			subject.login(token);
			System.out.println("登陆成功...");
		} catch (UnknownAccountException e) {
		//这里最好不要给用户明确的错误信息,可以提高账号信息的安全性
			System.out.println("账号或密码错误...");
		}catch (IncorrectCredentialsException e) {
			System.out.println("账号或密码错误...");
		}
	}
}

源码分析

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

分析总结:

1、通过shiro相关api,创建securityManager以及获取subject实例
2、封装token信息,将要验证的身份信息封装到AuthenticationToken对象中
3、通过subject对象调用login(token)方法进行用户的认证
subject接收token,通过其实现类DelegatingSubject将token委托给SecurityManager来完成认证,securityManager接口是通过DefaultSecurityManager来完成相关的功能。由DefaultSecurityManager中的login来完成认证过程。在login中调用了该类的authenticate方法来完成认证,该方法由AuthenticatingSecurityManager来完成认证。通过ModularRealmAuthenticator中的doAuthenticate来获取Realms信息。判断如果是单realm直接将token和realm中的数据进行比较,判断是否认证成功,如果是多realm,那么需要通过AuthenticationStrategy来完成对应的认证工作。认证失败则抛出异常,通过subject中的isAuthenticated方法来判断是否认证成功。

zhouym_
关注
专栏目录
shiro框架运行步骤
weixin_43766390的博客
08-06 404
基本架构主体,可以是任何可以与应用交互的“用户”;安全管理器, 相当于中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;。用来决定主体是否有权限进行相应的操作;...
shiro登录流程源码分析
末贵的CSDN个人博客
09-08 171
分析整个登录流程,以token去向为线索,层层追踪,直到跟我们自定义的realm验证方法结合。
shiro架构图及执行流程详解
时光如白驹过隙的博客
08-29 6346
1、shiro架构图 shiro基本架构图: Subject: 主体,可以是任何可以与应用交互的“用户”; SecurityManager: 相当于SpringMVC中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。 Authenticator: 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authenti
shiro执行流程
散步的博客
11-06 831
1、通过ini配置文件创建securityManager 2、调用subject.login方法主体提交认证,提交的token 3、securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证。 4、ModularRealmAuthenticator调用IniRealm(给realm传入token) 去ini配置文件中查
Shiro 源码流程简解
shizhiqian0021的博客
07-10 250
首先,先上一个 Demo : Demo 链接 :ShiroDemo pom.xml <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.1.2.RELEASE</version>
第一章 Shiro简介——《跟我学Shiro
jinnianshilongnian的专栏
02-19 3427
  扫一扫,关注我的公众号    我的新书 购买地址   目录贴: 跟我学Shiro目录贴   1.1  简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的...
Shiro之FormAuthenticationFilter 源码分析
Zllvincent的博客
09-22 9029
一、简介 ssm application.xml 中配置相关认证过滤器后就会拦截web 请求并自动完成认证功能: <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="loginUrl" value="/login" /> ...
Shiro1.2.2_源码(压缩包)
05-29
通过对 Shiro1.2.2 的源码分析,我们可以了解到它如何处理各种安全问题,以及如何构建高效、灵活的安全架构。同时,源码的学习有助于我们理解和解决在实际开发中遇到的安全问题,提升我们的编程技能。
Springboot+Shiro+JWT+前后端分离:登录流程源码分析
qq_40144694的博客
02-04 412
本文讲解针对对Shiro有一定了解的同学,如有错误欢迎指正,感谢 @Date: 2021-02-04 Shiro版本(目前最新是1.7.1) <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency>
跟我学shiro文档及源码
07-17
在《跟我学Shiro》这本书中,作者深入浅出地讲解了 Shiro 的核心概念与实际应用场景,配合源码分析,有助于读者更好地理解和掌握 Shiro 的工作原理。 1. **Shiro 概述** - Shiro 的设计目标是简化应用安全开发,它...
shiro-all-1.2.3.jar
11-28
apache权限框架的缓存管理器要用到的jar包 shiro-all-1.2.3.jar
shiro认证授权的过程
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405483
shiro执行流程
liaodaer的博客
08-06 156
https://my.oschina.net/xiaoqiyiye/blog/1620366
Shior的执行流程
weixin_68107783的博客
03-14 606
主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;DAO大家都用过,数据访问对象,用于会话的CRUD,比如我们想把Session保存到数据库,那么可以实现自己的SessionDAO,通过如JDBC写到数据库;域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;即控制着用户能访问应用中的哪些功能;
使用ShiroFilter的具体执行流程
最新发布
Katharsis_2021的博客
10-26 456
今天在项目中进行迁移的时候,因为用的是人人的开源后端系统。该系统集成了Shiro,因为这段时间个人也在研究Shiro。看到人人后端的用法与自己之前所学的并不是很相同,所以就在网上找了下为什么要这么写。并把想法记录下来。
shiroshiro整合JWT——3.执行流程
kevin的博客
06-02 1497
shiro整合JWT系列,主要记录核心思路–如何在shiro+redis整合JWTToken。上一篇中,主要讲如何在shiro框架中配置Jwt,以及token执行的流程。该篇主要梳理整个代码的执行流程。ps:本文主要以记录核心思路为主,以下都是个人理解,有问题请各位大佬指导一下。登录获取token携带token请求。
spring shiro 执行流程
weixin_30684743的博客
03-29 141
由于本人水平有限,如有说的不对的请多指正。 chain.doFilter()最终会将链里面的Filter的doFilter方法按照先后顺序执行一遍。 转载于:https://www.cnblogs.com/ylzblog/p/8669467.html...
shiro权限执行逻辑流程
健康平安的活着的专栏
06-20 281
一 认证和授权的流程 详情见:https://blog.csdn.net/u011066470/article/details/117402297 二 shiro权限执行的流程
shiro的工作流程
YANGYU1079075086的博客
01-04 5877
1.指定配置文件,配置文件中指定authenticator(认证)类型。初始化生成securityManager,初始化securityManager中的authenticator(认证)和realms(源)。securityManager存储为全局变量。 2.创建或获取subject(用于代表当前用户的实体),线程私有变量,存储于threadlocal上。 3.subject调用login(...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值